Patch Management für KMU: Warum Updates allein nicht reichen

Written by ExposIQ | März 12, 2026

«Wir patchen regelmässig» ist eine Aussage, die in vielen KMU als Beweis für gute IT-Sicherheit gilt. Und tatsächlich: Patching ist wichtig. Aber es ist nur ein Teil der Gleichung. Wer glaubt, dass regelmässige Updates allein ausreichen, übersieht einen grossen Teil der Angriffsfläche.

Dieser Artikel zeigt, warum Patch Management zwar notwendig, aber nicht hinreichend ist – und wie Schwachstellenscanning die entscheidende Ergänzung liefert.

Was Patching leistet – und was nicht

Patches schliessen bekannte Schwachstellen in Software. Wenn Microsoft, Apache oder ein anderer Hersteller ein Sicherheitsupdate veröffentlicht, behebt dieses eine oder mehrere dokumentierte CVEs. Das ist essenziell und muss zuverlässig passieren.

Aber Patches adressieren nur einen bestimmten Typ von Schwachstelle: fehlerhafte Software-Codierung. Viele der kritischsten Sicherheitsprobleme in KMU-Netzwerken sind jedoch keine Software-Bugs, sondern Konfigurationsfehler – und für die gibt es keinen Patch.

Fehlkonfigurationen: Die unsichtbare Angriffsfläche

Fehlkonfigurationen entstehen nicht durch fehlerhafte Software, sondern durch fehlerhafte Einrichtung oder Wartung. Typische Beispiele:

  • Standard-Zugangsdaten: Router, Switches, Drucker, NAS-Systeme und Firewalls, die noch mit werkseitigen Benutzernamen und Passwörtern betrieben werden. «admin/admin» oder «admin/password» sind erschreckend verbreitet.
  • Offene Verwaltungsschnittstellen: RDP, SSH, Webinterfaces von Netzwerkgeräten oder Datenbanken, die direkt aus dem Internet erreichbar sind – oft ohne dass der Administrator davon weiss.
  • Fehlende Verschlüsselung: Interne Dienste, die unverschlüsselt kommunizieren. HTTP statt HTTPS, unverschlüsseltes LDAP, Telnet statt SSH.
  • Zu grosszügige Berechtigungen: SMB-Shares, auf die «Everyone» Schreibzugriff hat. Datenbanken, die Verbindungen von jeder IP-Adresse akzeptieren.
  • Veraltete TLS-Konfigurationen: Webserver, die noch TLS 1.0 oder schwache Cipher Suites unterstützen.
  • Fehlende E-Mail-Sicherheit: Domains ohne SPF, DKIM und DMARC, die E-Mail-Spoofing ermöglichen.

Für keine dieser Schwachstellen wird jemals ein Patch erscheinen. Sie können nur durch bewusste Konfigurationsänderungen behoben werden – und dafür muss man sie zuerst kennen.

Der Patch Gap: Die gefährliche Lücke

Selbst wenn ein KMU vorbildlich patcht, gibt es eine unvermeidbare Zeitspanne zwischen der Veröffentlichung einer Schwachstelle und der Installation des Patches. Diese Lücke – der Patch Gap – ist ein reales Risiko.

Der typische Ablauf:

  1. Tag 0: Die Schwachstelle wird öffentlich bekannt (CVE-Publikation)
  2. Tag 0-7: Der Hersteller veröffentlicht einen Patch (im besten Fall)
  3. Tag 7-14: Das KMU evaluiert den Patch und testet ihn
  4. Tag 14-30: Der Patch wird auf allen betroffenen Systemen installiert

In der Praxis vergehen also 2 bis 4 Wochen zwischen Bekanntwerden einer Schwachstelle und deren Behebung – selbst bei gut organisierten KMU. Bei weniger priorisierten Systemen oder komplizierten Update-Prozessen (etwa bei Fachanwendungen, die nach einem Betriebssystem-Update getestet werden müssen) können es Monate sein.

Gleichzeitig zeigen Studien, dass Angreifer immer schneller werden. Die durchschnittliche Zeit von der CVE-Veröffentlichung bis zum ersten beobachteten Exploit-Versuch liegt bei unter 15 Tagen. Bei hochkritischen Schwachstellen beginnen automatisierte Angriffe oft innerhalb von Stunden.

Was passiert in der Lücke?

Während des Patch Gap sind zwei Dinge entscheidend:

  • Wissen: Weiss das KMU überhaupt, dass es betroffen ist? Ohne Schwachstellenscanning muss sich das IT-Team auf Herstellermeldungen und Newsseiten verlassen.
  • Kompensation: Können temporäre Schutzmassnahmen (WAF-Regeln, Firewall-Einschränkungen, Dienst-Deaktivierung) das Risiko bis zum Patching reduzieren?

Ein Schwachstellenscanner, der die Infrastruktur regelmässig prüft, macht beides möglich: Er identifiziert betroffene Systeme automatisch und liefert die Grundlage für gezielte Kompensationsmassnahmen.

Patch installiert – Problem gelöst? Nicht immer.

Eine oft übersehene Realität: Nicht jeder installierte Patch wirkt. Es gibt zahlreiche Szenarien, in denen ein Patch installiert wurde, die Schwachstelle aber weiterhin besteht:

  • Der Patch erfordert einen Neustart: Windows-Updates insbesondere werden oft installiert, aber der Neustart wird verschoben – manchmal wochenlang. Bis zum Neustart bleibt die Schwachstelle offen.
  • Der Patch wurde fehlerhaft installiert: Abhängigkeitskonflikte, nicht ausreichender Speicherplatz oder Berechtigungsprobleme können dazu führen, dass ein Update zwar als «installiert» markiert wird, aber nicht wirksam ist.
  • Der Patch deckt nur einen Teil des Problems ab: Manche Schwachstellen erfordern zusätzliche Konfigurationsänderungen nach der Patch-Installation. Die bekannte Exchange-Schwachstelle ProxyNotShell beispielsweise erforderte nach dem Patch eine URL-Rewrite-Regel.
  • Der Dienst wurde nach dem Patch nicht neu gestartet: Ein gepatchter Apache-Webserver, dessen Prozess nicht neu gestartet wurde, läuft weiterhin mit dem alten, verwundbaren Code im Speicher.

Die einzige zuverlässige Methode, die tatsächliche Wirksamkeit eines Patches zu überprüfen, ist ein erneuter Schwachstellenscan nach der Installation.

Scan-Vergleiche: Die Patch-Verifizierung

Scan-Vergleiche sind ein mächtiges Werkzeug für das Patch Management. Das Prinzip ist einfach: Sie vergleichen die Ergebnisse eines Scans vor dem Patching mit einem Scan danach. Das Ergebnis zeigt:

  • Behobene Schwachstellen: Diese waren im vorherigen Scan vorhanden und sind jetzt verschwunden. Der Patch hat gewirkt.
  • Persistente Schwachstellen: Diese waren vorher da und sind immer noch da. Der Patch hat nicht gewirkt oder wurde nicht installiert.
  • Neue Schwachstellen: Diese waren im vorherigen Scan nicht vorhanden. Entweder wurden neue CVEs veröffentlicht, neue Systeme hinzugefügt, oder der Patch hat unbeabsichtigt neue Probleme eingeführt.

Dieser Vorher-Nachher-Vergleich macht den Erfolg von Patching-Massnahmen messbar und gibt dem IT-Team klares Feedback darüber, welche Arbeit tatsächlich Wirkung gezeigt hat.

Ein ganzheitlicher Ansatz für KMU

Effektives Schwachstellenmanagement kombiniert Patch Management mit regelmässigem Scanning. Die beiden Disziplinen ergänzen sich:

Patch Management sorgt dafür, dass:

  • Bekannte Software-Schwachstellen geschlossen werden
  • Betriebssysteme und Anwendungen auf aktuellem Stand sind
  • Herstellerempfehlungen umgesetzt werden

Schwachstellenscanning sorgt dafür, dass:

  • Fehlkonfigurationen erkannt werden, für die es keine Patches gibt
  • End-of-Life-Software identifiziert wird
  • Die Wirksamkeit von Patches verifiziert wird
  • Neue Schwachstellen zeitnah erkannt werden
  • Unbekannte oder vergessene Systeme entdeckt werden

Praktische Empfehlungen für KMU

  1. Automatisieren Sie Ihr Patching – Windows Server Update Services (WSUS), Intune, oder Third-Party-Patch-Management-Lösungen reduzieren den manuellen Aufwand.
  2. Scannen Sie nach jedem Patching-Zyklus – um sicherzustellen, dass die Patches tatsächlich gewirkt haben.
  3. Scannen Sie auf Fehlkonfigurationen – Standard-Passwörter, offene Ports, fehlende Verschlüsselung und unsichere Dienste werden von keinem Patch behoben.
  4. Definieren Sie einen Rhythmus – monatliche Patch-Zyklen kombiniert mit wöchentlichen oder monatlichen Schwachstellenscans.
  5. Messen Sie Ihren Fortschritt – Scan-Vergleiche zeigen, ob die Gesamtzahl der Schwachstellen sinkt oder steigt.

Die häufigsten «Nur-Patching»-Fehler

Zum Abschluss eine Übersicht der Situationen, die reines Patch Management nicht abdeckt – und die in Schwachstellenscans regelmässig auftauchen:

  • Webserver mit aktiviertem Directory Listing
  • Datenbanken, die auf 0.0.0.0 lauschen statt nur auf localhost
  • WordPress-Installationen mit deaktivierter, aber noch erreichbarer xmlrpc.php
  • SNMP-Dienste mit Community-String «public»
  • SSH-Server mit erlaubter Root-Anmeldung und Passwort-Authentifizierung
  • Wildcard-SSL-Zertifikate auf Systemen, die gar kein HTTPS benötigen
  • Backup-Dateien (.bak, .old, .sql) im öffentlichen Webverzeichnis

Keines dieser Probleme wird durch einen Patch behoben. Alle sind durch Scanning erkennbar.

Fazit

Patching ist unverzichtbar – aber es ist nur die halbe Miete. Fehlkonfigurationen, der Patch Gap und die fehlende Verifizierung von Updates schaffen Lücken, die Angreifer gezielt ausnutzen. Erst die Kombination aus konsequentem Patch Management und regelmässigem Schwachstellenscanning ergibt ein vollständiges Bild der eigenen Sicherheitslage.

ExposIQ bietet mit über 35 Scan-Engines und 11’700 Nuclei-Templates eine umfassende Prüfung, die weit über reine CVE-Erkennung hinausgeht: Fehlkonfigurationen, Standard-Zugangsdaten, End-of-Life-Software und DNS-Probleme werden gleichermassen erkannt. Scan-Vergleiche zeigen, ob Ihre Patches tatsächlich gewirkt haben. Alles gehostet in der Schweiz, nDSG-konform, ab CHF 99 pro Monat. Mehr unter exposiq.ch.

ExposIQ ist die Schweizer Plattform für automatisiertes Vulnerability Management. Wir helfen KMU und IT-Dienstleistern, Schwachstellen zu erkennen und zu beheben – sicher, verständlich und nDSG-konform.

Zürich, Schweiz

info@exposiq.ch
+41 43 200 02 52

Firma

Über uns Kontakt Blog
 Datenschutzerklärung Nutzungsbedingungen

Newsletter

Copyright © ExposIQ Schweiz 2026. Alle Rechte vorbehalten.